Upload
mauricio-correa
View
257
Download
2
Embed Size (px)
DESCRIPTION
XSS Injection ou Cross Site Scripting e seus perigos palestra de Mauricio Corrêa
Citation preview
XSS Injection e seus perigos
Breve Apresentação:
Mauricio Pampim CorrêaDiretor da empresa xlabs security.
Cursos:•Técnico em Hardware e Redes pela Exattus;•Curso preparatório para o Cisco CCNA pela Fundação Bradesco;•Curso de Segurança da Informação pela Fundação Bradesco;•Atualmente cursando Ciência da Computação na UNISINOS;
Hobby:Trabalhando na descoberta de novas vulnerabilidades e desenvolvendo softwares para detecção e estudos de vírus de computador e falhas em sistemas.
Cross Site Scripting ou XSS Injection• Vulnerabilidade crítica em sistemas Web;
• Vulnerabilidade em grande maioria Client Side;
• Casualmente Server-Side;
• Vulnerabilidade mais encontrada em sistemas web;
• Por que é considerada crítica?
• O que empresas vem fazendo para evitar estes tipos de
ataques?
• O que as empresas devem fazer?
Exemplos
Exemplo de aplicação vulnerável:
Formas de detecção
Teste padrão <teste> :
Formas de detecção
Código fonte da aplicação exibindo <teste> :
Possível Payload(código para verificação ou exploração da falha):
xss_reflected.jsp?Search=internet<script>alert("XSS injection xlabs")</script>
Formas de detecção
Exibição da mensagem de alerta confirmando a existência da vulnerabilidade:
Formas de detecção
Código fonte da aplicação para a confirmação de que o Payload foi bem inserido:
Tipos de ataque:
-Armazenado ou Persistente ( Stored or Persistent );-Refletido ( Reflected );
Encurtadores de URLDe mocinho a vilão em alguns dribles
Encurtadores que ainda aceitam Scripts em Links:
http://link.zip.net/ : http://zip.net/btlwdthttp://goo.gl/ : http://goo.gl/C75EOfhttps://bitly.com/ : http://bit.ly/I5C60U
Dentre outros...
FAIL
Tipos de ataque
Armazenado ou Persistente:
Servidor web vulnerávelAtacante
Vítima 1
Vítima 2
Internet
Tipos de ataque
Refletido:
Atacante
Vítima 1
Vítima 2
Servidor web vulnerável
Internet
Casos onde foi utilizada
Caso de invasão da fundação Apache em 2010, onde foi utilizada uma falha na aplicação JIRA:
“Os invasores postaram um relato de erro pela interface do JIRA no dia 5 de abril. O relato tinha um link que apontava para um endereço do TinyURL.” g1.globo.com
• Refletido*
Mais encontrada em sistemas web
Segundo a organização webappsec.org o Cross Site Scripting é a falha mais comum encontrada em sistemas web, ficando com a fatia de 39%passando a frente de vazamento de informações com 32%, de SQL injection 7% e outrasfalhas encontradas em sistemas web.
Terceira de maior risco no Top Ten OWASP 2013
Segundo a organização OWASP, ela se classifica no Top Ten 2013 como a Terceira de maior risco.
Quais os possíveis ataques?Roubo de sessão, através do roubo de Cookies do navegador do usuário.
Execução de comandos:
Por que terceira de maior risco?
Conforme podemos ver no vídeo a seguir, a vulnerabilidade possibilita a execução de comandos em clientes do web-site afetado.
As empresas e o XSS Injection
• Nunca falaram;• Nunca viram;• Nunca ouviram falar;
Maioria das empresas:
• Foco total nos negócios;• Curtos prazos;• Falta de cultura na segurança;• Falsa sensação de segurança;
Motivos:
O que empresas devem fazer?
• Criar uma equipe de segurança ou contratação de SOC terceirizado especializado;• Contratar empresas especializadas em Pentest;• Treinar funcionários e desenvolvedores internos;• Adquirir a cultura da segurança da informação;
Web-site e referências
Website XLabs: www.xlabs.com.brNosso blog: www.xlabs.com.br/blog
OWASP: www.owasp.orgMetasploit: www.metasploit.comXSSF: code.google.com/p/xssf/